L'authentification unique (SSO, Single Sign-On) permet aux utilisateurs de se connecter à de nombreuses applications sans devoir saisir de nom d'utilisateur ni de mot de passe pour chacune d'elles. Le protocole SAML (Security Assertion Markup Language) est une norme XML qui permet aux domaines Web sécurisés d'échanger des données d'authentification et d'autorisation d'utilisateurs.
Les rôles des fournisseurs de services et d'identité
Google propose un service SSO basé sur SAML qui permet aux entreprises partenaires d'autoriser et d'authentifier les utilisateurs hébergés qui essaient d'accéder à du contenu sécurisé. Google agit en tant que fournisseur de services en ligne et propose des services tels que Google Agenda et Gmail. Les Partenaires Google, quant à eux, font office de fournisseurs d'identités en ligne en contrôlant les noms d'utilisateur, mots de passe et autres informations nécessaires à l'identification, l'authentification et l'autorisation des personnes qui utilisent les applications Web hébergées par Google.
De nombreux fournisseurs d'identité Open Source et commerciaux peuvent vous aider à implémenter l'authentification unique avec Google.
Certificats de validation SAML
Pour configurer le SSO avec des IdP tiers où Google est le fournisseur de services, vous devez importer un ou plusieurs certificats de validation. Le certificat contient la clé publique qui valide la connexion de l'IdP.
- Si vous configurez le profil SSO tiers pour votre organisation, vous importez un certificat de validation.
- Si vous créez un profil SSO SAML, vous pouvez importer deux certificats, ce qui vous permet d'effectuer une rotation.
Vous les recevrez généralement de votre fournisseur d'identité. Vous pouvez toutefois également les générer vous-même.
Conditions requises
- Il doit s'agir d'un certificat X.509 au format PEM ou DER intégrant une clé publique.
- Cette dernière doit être générée avec les algorithmes DSA ou RSA.
- La clé publique du certificat doit correspondre à la clé privée utilisée pour signer la réponse SAML.
